Единственная, пожалуй, статья расходов на информационные технологии (ИТ), которую американские компании не сократили после событий 11 сентября прошлого года, это расходы на информационную безопасность. А во многих случаях затраты на защиту корпоративных сетей и баз данных на Западе даже возросли. О России этого не скажешь, хотя у нас проблема информационной безопасности стоит не менее остро. На следующей неделе в рамках форума "Информационная безопасность России в условиях глобального информационного общества" в Госдуме пройдут специальные слушания по вопросам обеспечения информационной безопасности.
Киберпреступность наглеет
Американский институт компьютерной безопасности CSI (Computer Security Institute) и отдел компьютерных преступлений ФБР в совместном "Обзоре компьютерных преступлений и защиты CSI/FBI" выделяют 13 типов рисков, возникающих при внедрении ИТ. Кроме взлома сетей хакерами в список входят также злоупотребление сетевым доступом, финансовые махинации и даже кража портативных компьютеров. CSI также предупреждает, что все типы покушений на информационные сети имеют ярко выраженную тенденцию к росту. Наиболее активно развиваются такие виды киберпреступлений, как проникновение в информационную систему извне, злоупотребление сетевым доступом, вирусные атаки, неправомерный доступ и взлом сетей. По оценкам CSI, ущерб компаний от действий хакеров в 2001 году составил $377,8 млн. Отметим, что в 2000 году сумма потерь равнялась $265,6 млн.Российский бизнес тоже несет потери. В прошлом году компания Ernst & Young, опросив около 100 российских компаний, выяснила, что в течение года 65% респондентов хотя бы однажды сталкивались с нарушениями компьютерной безопасности, причем 41% участников опроса никаких операций через интернет не вели (см. рис. 1). Так что от киберпреступности страдает не только электронный бизнес. Хотя очевидно, что чем более сложные информационные системы использует компания, тем больше угроза ее информационной безопасности. Риск несанкционированного доступа к корпоративным данным повышается уже при появлении в компании локальной вычислительной сети, а при ее подключении к интернету он возрастает на порядок. Так, расчетно-кассовый центр ЦБ по Рязанской области столкнулся с хакерами после того, как установил у себя интегрированную систему обработки информации, стекающейся из региональных банков. Пока РКЦ довольствовался локальными решениями, посягательств не было.
Комплексная безопасность
Специалисты полагают, что проект по обеспечению безопасности информации должен стартовать одновременно с проектом по внедрению самой информационной системы. "Средства безопасности — неотъемлемая часть информационных систем,— утверждает начальник отдела сертификации и защиты информации компании 'Микротест' Владимир Орлов.— Никому ведь не приходит в голову разделить электрический провод на продуктивную часть (проводник) и часть, обеспечивающую безопасность (изоляцию)". Но информационная безопасность — это не только программы и технические средства. Прежде всего это строгая политика компании в области безопасности. По данным IDC, в 83% западноевропейских компаний правила информационной безопасности закреплены в специальном документе. Причем небольшие фирмы с 50-100 сотрудниками столь же серьезно относятся к вопросам безопасности, как и предприятия со штатом в 5 тыс. человек.Для российских компаний комплексный подход к защите информации не характерен. "Информационная безопасность как комплекс мероприятий до последнего времени не входила в число приоритетных задач российского бизнеса",— считает директор по маркетингу компании TopS BI Владимир Руденко. Защита данных отдана на откуп системным администраторам, которые пытаются обеспечить ее подручными средствами: установкой межсетевых экранов, введением пользовательских паролей и обновлением средств антивирусной защиты. Хотя, по мнению консультантов, заниматься этими вопросами должен отнюдь не системный администратор. По словам Мишель Мур (Michelle Moore), руководителя отдела по информационным технологиям и рискам Ernst & Young, 80% случаев потерь конфиденциальной информации имеет внутрикорпоративное происхождение и только 20% — внешнее. Значит, главный защитник информации должен обладать не столько техническими инструментами, сколько административными полномочиями, обеспечивающими обязательность исполнения его распоряжений сотрудниками компании. Разногласия по поводу того, кто должен нести ответственность за информационную безопасность фирмы, есть и в Европе. По данным IDC (см. рис. 2), 16% компаний полагают, что информационной безопасностью должен заниматься системный администратор.
"Комплексный подход к безопасности я наблюдал в одной брокерской конторе,— рассказывает менеджер по продуктам Sun Microsystems Павел Анни.— В целях повышения уровня конфиденциальности в компании было принято решение хранить все документы на одном сервере. Это техническое решение. Затем был подписан приказ. Со всеми сотрудниками поговорили и порекомендовали им перенести свои файлы на этот сервер. Это уже организационный момент. А через неделю на всех персональных компьютерах отформатировали жесткие диски — это уже настоящий административный рычаг".
Бизнес на безопасности
Объем российского рынка систем информационной безопасности в 2001 году составил не более $15-20 млн. Это очень мало, всего 0,5% общего объема рынка ИТ. Между тем, как считает заместитель генерального директора "Микротест" Николай Поликарпов, 10-15% бюджета проекта по системной интеграции должны направляться именно на системы безопасности. Аналитики Brunswick UBS Warburg оценивают объем российского рынка системной интеграции в 2001 году в $400 млн, а на 2002 год прогнозируют его рост до $510 млн, значит, на безопасность компании должны потратить не меньше $50 млн. Компания Panda Software Russia оценивает потенциал рынка только антивирусного ПО в 2002 году в 10 млн евро. Правда, потенциальных покупателей еще нужно заставить потратить деньги. "По нашим данным, около трети посетителей рунета вообще не используют антивирусы",— утверждает руководитель информационной службы лаборатории Касперского Денис Зенкин. Впрочем, 33% европейцев поступают так же.Лидеры по затратам на информационную безопасность — банки и госучреждения. По словам председателя совета директоров банка МЕНАТЕП СПб Виталия Савельева, до 30% ИТ-бюджета банка идет на работы, связанные с безопасностью внутренних информационных систем и защитой электронных сервисов. Ну а госорганизации просто обязаны заботиться о безопасности в соответствии с требованиями гостехкомиссии при президенте РФ и ФАПСИ: приказ #61 гостехкомиссии предписывает всем госструктурам следовать ее "Руководящим указаниям" в области безопасности, а уровень защиты определяется классом секретности информации. "Почти все, кто занимается защитой информации, ориентируются на госструктуры,— говорит гендиректор фирмы Aladdin Software Security R.D. Сергей Груздев.— Но есть еще и коммерческий рынок, на котором, за редким исключением, сейчас никто не играет. Я бы сравнил нынешнее состояние коммерческого рынка систем информационной безопасности с тем, что происходило на российском рынке бухгалтерских систем лет семь назад. И посоветовал бы обратить серьезное внимание на его динамику".
Коллеги господина Груздева, судя по всему, вняли его совету. Осенью прошлого года был создан альянс участников рынка информационной безопасности, в который сейчас входят 23 компании. Председатель координационного совета альянса Владимир Мамыкин видит его основную задачу в расширении рынка. Отметим два важных события, о которых было объявлено на минувшей неделе: Ernst & Young заключила договор о стратегическом партнерстве с антивирусной лабораторией Касперского, а Info Industries Group и Rainbow Technologies договорились о технологическом сотрудничестве. По информации Ъ, готовится еще несколько стратегических альянсов, участники которых ставят перед собою цель выйти на рынок средних и крупных предприятий. Жесткое регулирование этого рынка, в частности лицензирование деятельности в области информационной безопасности гостехкомиссией и ФАПСИ, дает дополнительные преференции российским разработчикам. В отчете, подготовленном по заказу посольства США в Москве, американским компаниям, желающим работать в России, рекомендуется найти местного партнера, у которого есть все нужные лицензии. Советники предупреждают, что сертификация, например, одного межсетевого экрана требует полгода и $5 тыс.
Впрочем, жесткое регулирование имеет и свои недостатки. На Западе общие критерии оценки безопасности информационных технологий, в создании которых принимали участие многие международные и национальные организации по информационной безопасности и стандартам, были разработаны в 90-х годах. А в 1999-м на их основе был подготовлен и утвержден международный стандарт ISO/IEC 15408, которым сегодня руководствуются почти все производители ИТ-оборудования. В России в 1995-1999 годах появились свои ГОСТы. "Я думаю, что со временем следовать ГОСТам или иным стандартам придется всем,— считает Павел Анни.— В процессе интеграции систем, скажем, компании и обслуживающего ее банка каждая сторона может пожелать, чтобы у ее контрагента внутренняя система тоже была надежно защищена". Многие банки и некоторые крупные фирмы (например, ЛУКОЙЛ) уже проводят аттестацию своих систем безопасности на соответствие ГОСТам. Не исключено, правда, что энтузиастам придется платить дважды: до сих пор нет ясности, какие стандарты будут действовать в России после ее вступления в ВТО (см. интервью на этой странице).
МАРИЯ Ъ-ПРАВДИНА